https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Sunday, July 5, 2026

El malware Umbrij vinculado a ToddyCat abusa de OAuth para acceder a Gmail a través de la API de Google

TecnologíaEl malware Umbrij vinculado a ToddyCat abusa de OAuth para acceder a Gmail a través de la API de Google

El actor de amenazas conocido como toddygato se ha atribuido a un nuevo malware llamado Umbrij que está diseñado para obtener acceso subrepticio a la correspondencia de correo electrónico de una víctima a través de la API de Google.

“En esta campaña, los atacantes centraron su atención en las comunicaciones corporativas por correo electrónico alojadas en Gmail, apuntando a comprometer el acceso a través de API”, dijo Kaspersky en un informe detallado publicado esta semana. “Debido a que la API de Google se basa en el protocolo OAuth 2.0 para la autorización, las aplicaciones pueden usar un token OAuth para acceder a los recursos de correo electrónico solicitados”.

Se dice que el adversario desarrolló Umbrij para adquirir este token y usarlo para conectarse a la consola de administración del navegador en modo sin cabeza a través de un puerto de depuración remota.

Posteriormente, se emitieron una serie de solicitudes para obtener un código de autorización OAuth, que luego se intercambió por un token de acceso para llegar a los recursos de destino a través de la API. La técnica ha recibido el nombre en código. Token de sombra a través de depuración remota (STRD) del proveedor ruso de ciberseguridad.

Lo notable del ataque es que es viable en navegadores basados ​​en Chromium y explota una sesión activa de Gmail. En otras palabras, la idea es iniciar el navegador en modo sin cabeza, conectarse a través del puerto de depuración remota para tomar el control y aprovechar una sesión de Gmail ya iniciada para obtener acceso a los recursos de la cuenta de Google.

Se han descubierto tres versiones diferentes de Umbrij, incluidas versiones que cuentan con funciones auxiliares para depurar y buscar y seleccionar cuentas de usuario dentro del navegador.

ToddyCat es el nombre asignado a una amenaza persistente avanzada (APT) que tiene un historial de atacar a varias organizaciones en Europa y Asia desde al menos 2020. En noviembre de 2025, Kaspersky detalló el uso por parte del grupo de piratería de una herramienta personalizada denominada TCSectorCopy para acceder a los datos de correo electrónico de Microsoft Outlook pertenecientes a las empresas objetivo.

La compañía de ciberseguridad dijo que descubrió a Umbrij durante lo que describió como una “operación de búsqueda de amenazas”, como parte de la cual se utilizó una tarea programada que se hacía pasar por su software (“KasperskyEndpointSecurityEDRAvp”) para lanzar un archivo firmado digitalmente. Luego, el archivo firmado empleó carga lateral de DLL para iniciar Umbrij.

Para realizar esta tarea, se abusó de uno de los tres archivos binarios legítimos susceptibles a la carga lateral de DLL:

  • BDSubWiz.exeun componente del Asistente de envío en Bitdefender ConnectAgent
  • VSTestVideoRecorder.exeun componente de la herramienta de grabación de vídeo utilizada para realizar pruebas con Microsoft Visual Studio
  • GoogleDesktop.exeuna aplicación discontinuada de Google Desktop Search que se utiliza para indexar archivos y realizar búsquedas rápidas en una computadora local con Windows

Independientemente del ejecutable utilizado, el resultado final es el mismo: iniciar la DLL Umbrij escrita en .NET y ofuscada con ConfuserEx, un ofuscador de código abierto. La herramienta también se puede invocar junto con parámetros de línea de comandos que especifican a qué navegadores apuntar (Google Chrome o Microsoft Edge), le indican que guarde una captura de pantalla del perfil del usuario como un archivo PDF y proporcionan el nombre de usuario del sistema bajo el cual se ejecutará la herramienta.

Diagrama de flujo de trabajo de Umbría

Umbrij, una vez iniciado, realiza una serie de acciones preparatorias en un host de Windows comprometido para violar la cuenta de Gmail.

  • Verifique la disponibilidad del puerto que se designará para la depuración del navegador.
  • Recupere el contexto del usuario buscando el proceso “explorer.exe” y duplicando el token del primer proceso que encuentre para conservar todos los privilegios del usuario que ha iniciado sesión. Alternativamente, el usuario El interruptor se puede utilizar junto con la herramienta para especificar el usuario objetivo cuyo token debe duplicarse.
  • Construya la ruta a la carpeta de la aplicación del navegador web dentro del repositorio de datos de la aplicación local del usuario y luego analice el archivo de estado local correspondiente a Chrome o Edge para recopilar información sobre los perfiles de usuario del navegador almacenados.
  • Enumere todos los perfiles y escanéelos en busca de un campo llamado “nombre_usuario” que incluya una dirección de correo electrónico. Vale la pena señalar que la presencia de una dirección de correo electrónico indica que el usuario está autenticado en un servicio de Google.
  • Cree un directorio llamado “BackupFiles” dentro de “%LOCALAPPDATA%GoogleChrome” y “%LOCALAPPDATA%MicrosoftEdge”.
  • Copie los siguientes archivos y carpetas de cada perfil de usuario de destino en ellos: IndexedDB, almacenamiento local, red, datos de inicio de sesión, datos de inicio de sesión para cuenta, preferencias, preferencias seguras y datos web. En caso de que otros procesos bloqueen estos archivos, la herramienta incluye un mecanismo de copia forzada.
  • Busque en las carpetas “Archivos de programa” y “Archivos de programa (x86)” la carpeta de instalación del navegador Chrome y Edge.
  • Inicie los navegadores en modo sin cabeza utilizando el perfil de usuario copiado en la carpeta “BackupFiles”, lo que hace que el navegador aplique todas las cookies del usuario activo, incluida la cuenta de Google que inició sesión, y omita la autenticación.
  • Utilice Puppeteer, una biblioteca de JavaScript utilizada para controlar navegadores basados ​​en Chromium a través del protocolo Chrome DevTools, para conectarse al puerto de depuración remota y enviar una solicitud de código de autorización para dirigir el navegador a una URL “accounts.google(.)com/o/oauth2/v2/auth/identifier” que contiene un “client_id” que corresponde a una herramienta de migración utilizada para importar archivos PST locales y datos de cuentas de Microsoft Exchange a una cuenta de Google Workspace. La solicitud HTTP GET también especifica el conjunto de permisos requeridos por la aplicación.
  • Utilice JavaScript para emular eventos de clic del mouse para seleccionar la cuenta de Google adecuada después de navegar a la URL y otorgarle los permisos necesarios, incluido el acceso completo a Gmail, Drive, Contactos, Calendario y Tareas.
  • Redirija la sesión del navegador a una dirección local especificada en la solicitud inicial y extraiga de ella el código de autorización OAuth.

“Umbrij, como la mayoría de las otras herramientas del arsenal de ToddyCat, registra sus acciones en detalle y las guarda en un archivo”, dijo Kaspersky. “También guarda el código de autorización recuperado en este archivo de registro, que posteriormente el operador extrae del host comprometido”.

“El código de autorización adquirido luego se intercambia por un token de acceso OAuth. Los actores de amenazas usan ese token para conectarse a la cuenta de Gmail a través de la API, comprometiendo así las comunicaciones corporativas por correo electrónico”.

Para contrarrestar la amenaza, se recomienda revisar los códigos de autorización otorgados a las aplicaciones navegando a “myaccount.google(.)com/connections” y luego buscando aplicaciones llamadas “Google Workspace Migration para Microsoft Outlook” o “Google Workspace Sync para Microsoft Outlook”. Si alguna de esas aplicaciones está presente y no se utiliza realmente dentro de la organización, es esencial revocar su acceso para invalidar los tokens de OAuth.

“El grupo ToddyCat APT continúa buscando formas de comprometer las comunicaciones corporativas por correo electrónico”, dijo Andrey Gunkin, analista senior de malware de Kaspersky. “Su nueva herramienta, Umbrij, automatiza los intentos de los atacantes de obtener acceso a las cuentas de correo electrónico de la organización. Esta automatización no sólo ayuda a aumentar la escala y la frecuencia de sus ataques sino que también demuestra la fuerte motivación y las habilidades técnicas avanzadas de ToddyCat”.

Artículos más populares